Test sul Cisco VPN Concentrator

Slides:



Advertisements
Presentazioni simili
Corso di Fondamenti di Informatica
Advertisements

Elaborazione del Book Informatico
ISA Server 2004 Configurazione di Accessi via VPN
Configuring Network Access
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Connessione di 2 computer in rete senza HUB Premessa: Supponiamo di avere due computer e volerli mettere in comunicazione senza acquisto di HUB Il nome.
Amministratore di sistema di Educazione&Scuola
Controllo accessi ai PC con OpenVPN
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Installazione di Active Directory
DNS.
Organizzazione di una rete Windows 2003
Installazione di Active Directory
Come programmare servizi di rete?
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
IEEE 802.1x (Port Based Network Access Control)
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Il Client Windows98 Client nel dominio Windows 2000.
Il protocollo ftp.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Comune di Cento FORUM PA 2010 – Roma 20 maggio 2010 IL VOIP OPENSOURCE CON ASTERISK THINK DIFFERENT.
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Wireless Authentication
Attività del gruppo di lavoro VPN Provare: – Sistemi: BOX commerciali Sistemi gratuiti – Collegamenti: fra siti INFN da ISP a INFN Valutare: – Difficoltà
Incontri di INFNet - 12/13 Novembre Luca dellAgnello 1 W/NT Windows NT nellINFN.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Execution benchmarks Obiettivi Test dettagliati e ben caratterizzati Esecuzione di benchmark standard Test di applicazioni dell'esperimento ALICE 20 Novembre.
GIADA O N L I N E.
Acer Mnemonick presentazione commerciale
Tecnologia VPN: gestire lo studio a distanza MARTISOFT SA Relatore: A. Arrigo – System Engineer – MARTISOFT SA.
Guida IIS 6 A cura di Nicola Del Re.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
Printserver2.pg.infn.it (VM Xen in esecuzione su redhat cluster)
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Amministrazione della rete: web server Apache
Lezione 1 Approccio al sistema operativo : la distribuzione Knoppix Live Cd Knoppix 3.6 Interfacce a caratteri e grafica: console e windows manager File.
IPSec Fabrizio Grossi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Attivazione protocollo SSL al sistema di posta elettronica
Corso Serale 3 Windows e Office Automation 19 settembre – 19 dicembre 2005.
Sistemi di stampa Incontro con i Referenti 17 Novembre 2003 D. Bortolotti.
Competenze e attività gestite dai servizi di calcolo e reti. Paolo Mastroserio.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
Certificati e VPN.
AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Livello 3 Network (Rete)
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Revisione 1.1 del 10 aprile 2003 Introduzione all’utilizzo del laboratorio di Informatica Sergio Andreozzi Corso di Laurea.
Antivirus per mailserver: RAV Antivirus & altri Marco De Rossi – “Workshop sulle problematiche di calcolo e reti nell'INFN” 6-9 Maggio La Biodola.
Accesso wireless (e wired): autenticazione Layer 3 e soluzione mista
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Transcript della presentazione:

Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN

Cisco VPN Concentrator series modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB RAM modello 3015: idem, 64 MB RAM, upgradable ai modelli successivi modello 3030: 1500 connessioni, 50 Mb/s, hardware encr., 128 MB RAM modello 3060: 5000 connessioni, 100 Mb/s, hw encr., 256 MB RAM modello 3080: 10000 connessioni, 100 Mb/s, hw encr., 256 MB RAM Prezzi: ~4000 € (modello 3005), ~16000 € (modello 3015), ~26000 € (mod.3030) Netgroup Roma 19-20/02/2003

Principali funzionalità Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN. Protocolli supportati: PPTP, L2TP/IPSEC, IPSEC, IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei meccanismi di criptazione. Autenticazione tramite database locale, Radius, NT-Domain (e W2K-Domain con AD), tramite certificati, ed altro. Management via seriale, http, https, ssh, telnet, etc. Client (IPSEC) per W*, Linux, MacOsX, SunOS Possiblilità di definire filtri sulle interfacce ethernet Netgroup Roma 19-20/02/2003

Caratteristiche degli oggetti in prova Cisco VPN Concentrator 3005 Cisco VPN Concentrator software V 3.5 Cisco VPN Client Sofware V 3.7.2 http://www.cisco.com/cgibin/tablebuild.pl/vpnclient-3des Netgroup Roma 19-20/02/2003

Layout canonico Netgroup Roma 19-20/02/2003

Layout di test Netgroup Roma 19-20/02/2003

Meccanismi di autenticazione (protocollo IPSEC) Autenticazione basata su username e gruppi Sul server vanno definiti i gruppi e le password di gruppo Ogni gruppo definisce il meccanismo di autenticazione ed il server di autenticazione da utilizzare Il client deve avere configurato il gruppo da utilizzare con la corretta password Netgroup Roma 19-20/02/2003

Layout di test (con autenticazioni) Netgroup Roma 19-20/02/2003

Autenticazione su DB locale Vanno creati uno o piu’ gruppi sul VPN server, e definita la password di gruppo Per ogni gruppo vanno definiti utenti (sempre sul server), con password Il client deve essere configurato per utilizzare uno di questi gruppi, e la sua password All’atto di stabilire la connessione il client chiede username e password Tutto funziona correttamente Netgroup Roma 19-20/02/2003

Autenticazione su W2K Si deve definire sul server un gruppo che autentichi con meccanismo NT-Domain e va specificato il server di autenticazione Non devono essere creati utenti in questo gruppo nel DB locale Il client chiede username, password ed opzionalmente domain name Il VPN server chiede l’autenticazione al W2K server L’autenticazione funziona correttamente sia verso W2K server senza AD, sia su W2K domain server con active directory Netgroup Roma 19-20/02/2003

Autenticazione verso Radius Si deve creare un gruppo sul VPN server, specificando Radius come meccanismo di autenticazione, definendo il nome del Radius server, e specificando la chiave del Radius server Non vanno definiti utenti in quel gruppo E’ stato installato un Radius server (freeradius.0.8.1) su un PC linux RedHat 7.3, client nel dominio NIS di sezione e AFS client nella cella infn.it (kerberos 4) Netgroup Roma 19-20/02/2003

Autenticazione verso Radius (cont.) Il Radius server va configurato per accettare come client il VPN server, specificando la stessa chiave (usata per criptare la comunicazione) E’ stato configurato il Radius server per utilizzare PAM, e via PAM per autenticare via NIS o via AFS L’autenticazione funziona specificando, all’atto della connessione, sia utenti NIS che utenti AFS della cella infn.it Netgroup Roma 19-20/02/2003

Autenticazione verso Radius (cont..) E’ stato installato anche un Radius server (freeradius.0.8.1) su un PC linux RedHat 7.3 AFS client nella cella le.infn.it (kerberos 5) Il Radius server e’ stato configurato nello stesso modo del precedente L’autenticazione ha funzionato correttamente Netgroup Roma 19-20/02/2003

Protocolli di tunnelling Sono state effettuate prove di connessione in VPN utilizzando i protocolli IPSEC (Cisco client) IPSEC/UDP e IPSEC/TCP (Cisco client) PPTP (Windows client e linux client) Netgroup Roma 19-20/02/2003

Protocolli di tunnelling (cont.) E’ possibile specificare, a livello di gruppo, se il client deve far passare attraverso il tunnel tutto il traffico o solo il traffico verso alcune network (configurabili) La configurazione non e’ modificabile dal client La cosa e’ stata testata, e funziona correttamente Netgroup Roma 19-20/02/2003

Protocollo IPSEC Si deve abilitare sul VPN server il protocollo IPSEC tra quelli accettati dal gruppo che viene utilizzato dal client Il client attiva una connessione IPSEC sulla porta 500 UDP dell’interfaccia pubblica del VPN server Le prove hanno verificato la funzionalita’ con i tre meccanismi di autenticazione gia’ visti Netgroup Roma 19-20/02/2003

Protocollo IPSEC/TCP e IPSEC/UDP E’ possibile configurare il VPN server ed il client per incapsulare la connessione IPSEC sia su TCP che su UDP Le porte TCP ed UDP per l’incapsulamento sono configurabili (ma il client deve sapere su quale porta connettersi) E’ stata testata la connessione con entrambi i protocolli anche a partire da client situati dietro reti filtrate o nattate (incapsulamento necessario) Netgroup Roma 19-20/02/2003

Protocollo PPTP Il protocollo PPTP non consente dal lato client di definire il gruppo per la connessione Puo’ essere definita sul VPN server una lista di server di autenticazione, anche di tipo diverso Il VPN server, con questo protocollo, tenta di verificare l’autenticazione solo con il primo server di autenticazione della lista Sono state effettuate prove con il client PPTP sia su Windows che su Linux Netgroup Roma 19-20/02/2003

Protocollo PPTP (cont.) Se non viene richiesta autenticazione, tutto OK Se viene richiesta autenticazione senza criptazione (PAP e MSCHAP v1), funziona con i tre meccanismi di autenticazione Se viene richiesto il cripting (MSCHAP v1 e v2) l’autenticazione funziona solo sul gruppo locale (ma la documentazione dice che funziona anche la autenticazione via Radius) Netgroup Roma 19-20/02/2003

Piattaforme client Per il protocollo PPTP, sono stati effettuati con successo test con client Windows e Linux Per il protocollo IPSEC (client Cisco) sono stati effettuati con successo test con client W2K Professional, Linux Rh 7.*, MacOsX (darwin kernel 5.5) Il client non compila sulla RedHat 8.0 Netgroup Roma 19-20/02/2003

Prove di throughput E’ stato effettuato un test di throughput utilizzando client linux connessi attraverso un link a 10 Mb/s Throughput con un client: 3.4 Mb/s Throughput con due client: 2*1.69 Mb/s In entrambi i casi l’utilizzo della CPU del VPN server va al 100% Netgroup Roma 19-20/02/2003

Cosa non e’ stato provato Autenticazione via certificati Protocollo L2TP/IPSEC con client Windows Netgroup Roma 19-20/02/2003

Cosa non funziona Non si e’ riusciti a configurare il VPN server con le due interfacce sulla stessa LAN (configurazione sconsigliata) Protocollo PPTP con criptazione (la documentazione dice che l’autenticazione via Radius funziona...) Netgroup Roma 19-20/02/2003

Layout ad una LAN Netgroup Roma 19-20/02/2003